Qデーを予測するための計算式として「モスカの定理」がある。
Y(移行期間):システムを新暗号方式へ移行するのに必要な年数
Z(猶予期間):暗号解読可能な量子コンピューターが実現し、現在の暗号が破られるまでの年数
XとYを合計した値が、Zよりも小さければ安全。反対にXとYを合計した値が、Zを上回っていた場合には、「暗号解読リスクにさらされている状態」ということになる。
現在、Qデーは2035年とされているため、Zには9を代入し、YとXの値を各組織、各システム単位で作成することで、自社にとってのQデーを算出することが出来るようになる。
参考までに、Zを9、Yを10とした場合の結果を図に示す。すでにYの時点でZを上回っていることがわかる。
モスカの定理を価値あるものにするためには、Xの機密保持期間が重要である。
企業が保有するデータには、法定保存文書に分類されるデータがある。法定保存文書には保存年数が定められており、こういった法定保存文書の保存年数がZの9年以上必要なデータの場合には、すでにHNDLのリスクにさらされているのである。
これに該当するデータとして、顧客や従業員の健康(医療)に関わるもの、知的財産(製造・R&D)、国家機密に関わる取引、顧客とのNDAといったものが挙げられる。金融機関であれば「顧客の口座情報」、製造業なら「特許出願前の設計図」といったものも対象となる。
法定保存文書以外にも、自社の競争優位性を保つために必要な「業務上不可欠な機密」情報も保護対象と考えるべきである。
Qデーに備えてデータ資産の棚卸しを
HNDLは「将来の脅威」ではなく「現在進行形のデータ侵害」である。Qデーを2035年と仮定し、現時点で着手可能な3つのアクションを実施することを推奨する。
1. データ資産と「X:機密保持期間」の棚卸し
組織内で使用されているデータ資産目録を作成し、優先度を決めて守るべき対象を特定する。
こういった機密性の高いデータの棚卸しを支援する技術としてDSPM(データセキュリティ体制管理)やDLP(データ損失防止)がある。DSPMやDLPを用いることで、組織内のオンプレミス環境やクラウド環境に点在する機密情報を可視化し、目録作成の大きな手助けとなる。
2. モスカの定理に基づく対応期限の算出
Qデーを2035年と仮定するならばZは9となる。作成したXの目録をベースとして、各データ、システムごとに移行に必要なYを代入し、対応期限を算出する。
3. 予算の確保と体制整備
PQCへの移行はIT部門単独の取り組みとして実施するのではなく、BCP(事業継続計画)の一環としてトップダウンで推進すべきである。
移行責任者を任命し、組織全体の目録作成と移行を統括する責任者を指名する。そして、1、2のアクションを実行するために必要な予算と、体制を整備する。
